Bonjour,
Les clients d'ING ont été les premières victimes de cette nouvelle escroquerie :
https://communaute.ing.fr/t5/Moyens-de-Paiement/Fraude-CB-et-Apple-Pay/td-p/182113. Moneyvox en avait également parlé (je trouve plus l'article lol).
Apple pay permet d'enroler une carte bancaire sur un appareil iOS puis de payer avec en authentification forte biométrique. En cela, les achats faits par Apple Pay sont soumis à une authentification forte quelque soit le montant, ce qui en fait quelque chose de relativement sécurisé. Apple pay a signé des accords avec les banques et Visa pour pratiquer quelque chose qu'aucun commerçant n'utilise en France, y compris Amazon, pour des raisons de fraude : le Visa Token Service (VTS). Il permet de transformer votre carte en un token indépendant. Il est lié au numéro de compte (voir sur ma photo). Votre carte est ainsi protégé mais en cas d'opposition, la carte bancaire est de nouveau active sur Apple Pay dès sa fabrication et donc
l'opposition ne bloque pas définitivement le service. Il faut que la banque invalide elle-même le token. C'est le système à la BNP Paribas, la caisse d'épargne et ING notamment mais Boursorama et le crédit agricole entre autres eux invalide directement le token.
Autre problème : l'enrôlement de la carte se fait par un simple SMS le bien souvent, en violation des règles de l'authentification forte. Ainsi, on ne peut indiquer que les achats ultérieurs sont faits avec authentification forte. Ce que vous indique la banque. Néanmoins, cela ne suffit pas. J'avais déjà alerté l'ACPR à ce sujet (voir ma lettre) mais elle m'a déclaré être incompétente. Vous pouvez utiliser mon texte si vous le voulez.
Alors que faire ?
Envoyez une LRAR au service client et sans réponse dans les 15 jours (ou 35 en cas de prolongation demandé), saisir la médiatrice qui d'ailleurs va trancher pour le cas d'ING en utilisant les arguments suivants :
- Manquement de la banque à son obligation de vigilance, suite à des achats d'un montant important, sur un nouvel appareil, par une personne âgée, plongeant le compte en débiteur.
- L'enrôlement ne permet pas une authentification forte requise par la loi pour déclarer une négligence grave. De plus, elle ne prouve pas la négligence grave mais la présume, en indiquant que ses données ont été utilisées, et la loi est clair : c'est insuffisant.
- La banque n'a pas prouvé que la transaction a été dûment authentifiée et non affectée par une déficience technique.
- La banque a continué le service malgré la fraude après l'opposition de la carte par son titulaire.
Tenez nous au courant mais pour moi, il y a clairement une faute de la banque et au vu de la justice ultra protectrice des consommateurs, vos chances de réussite sont très élevés si votre père n'a communiqué aucun code.